Swisscom Trust Services - Trust Blog

Anbieterinnen von Zertifizierungsdiensten - Swisscom Trust Services

Geschrieben von Ingolf Rauh | 19.01.2022 08:13:00

Gemäss Bundesgesetz über die elektronische Signatur, ZertES der Schweiz

 

Durch die elektronische Signatur auf digitalen Dokumenten können Kosten gespart, effektiver gearbeitet und ein Medienbruch vermeidet werden. Um die Vorteile des sicheren elektronischen Signierens in der Schweiz für sich nutzen zu können, bedarf es die Serviceleistungen einer sogenannten Anbieterin von Zertifizierungsdiensten. Da die Schweiz kein Mitglied der Europäischen Union ist, unterliegt das Land somit nicht der eIDAS Verordnung. Es regelt dies in einem eigenständigen Bundesgesetz, dem sog. ZertES-Gesetz, die gesetzlichen Anforderungen an die Qualität und Anwendung von elektronischen Zertifikaten, u. a. im Bereich der elektronischen Signatur und die Anforderungen an Anbieterinnen von Zertifizierungsdiensten. Was genau Anbieterinnen von Zertifizierungsdiensten sind, welche verschiedenen Dienstleistungen sie anbieten und welche rechtlichen Rahmenbedingen für sie gelten, erfahren Sie in diesem Ratgeber.

Was sind Anbieterinnen von Zertifizierungsdiensten?

Der Zertifizierungsdienst hat allgemein die Aufgabe, in einer elektronischen Umgebung Daten zu bestätigen und zu diesem Zweck digitale Zertifikate auszustellen. Im Umfeld von elektronischen Signaturen wird er die Daten des Signierenden oder der signierenden Organisation aufnehmen, prüfen und registrieren und Signaturzertifikate ausstellen. Die ausgestellten Zertifikate können dann in Kombination mit elektronischen Zeitstempeln in Signaturapplikationen oder -lösungen genutzt werden. Das Gesetz definiert lediglich das Angebot von qualifizierten elektronischen Signatur.

Voraussetzungen für einen Zertifizierungsdienstanbieter

Der Zertifizierungsdienst wird nach Art. 3 ZertES von in- oder ausländischen Organisationen erbracht, die entsprechendes Personal mit Fachkenntnissen, Erfahrungen und Qualifikationen nachweisen können und verlässliche und vertrauenswürdige Systeme, wie Signatur- und Siegelerstellungseinheiten betreiben. Die Schweizerische Akkreditierungsstelle (SAS) des Staatssekretariats für Wirtschaft akkreditiert die Stellen, die die Anbieterinnen von Zertifizierungsdiensten anerkennen, die sogenannten Anerkennungsstellen. In der Schweiz ist die KPMG als offizielle Anerkennungsstelle überprüft und anerkannt. Die Liste der anerkannten Anbieterinnen von Zertifizierungsdiensten wird von der SAS auf ihrer Webseite publiziert. Die Anerkennungsstellen auditieren wiederholt die Anbieterinnen und prüfen damit regelmässig die Voraussetzungen für das Zertifizierungsdienstangebot.

 

Aufgaben einer Anbieterin von Zertifizierungsdiensten

Eine Anbieterin von Zertifizierungsdiensten stellt geregelte und qualifizierte Zertifikate sowie qualifizierte Zeitstempel aus. Die geregelten Zertifikate können sowohl für natürliche Personen ausgestellt werden, oder für Organisationen, den sogenannten UID Einheiten, die im UID Register der Schweiz gelistet sind. Hierfür generiert, speichert und verwenden die Anbieterinnen private kryptografische Schlüssel im Rahmen einer Public Private Key Infrastructure (PKI) auf sicheren Signatur- und Siegelerstellungseinheiten. Sie kann im Rahmen eines Fernsignaturdienstes die privaten Schlüssel für die Signierende auch verwalten. Die Identität und Daten der Signierenden sind im Rahmen der Registrierung für den Service zu überprüfen, die Aufgabe darf auch Art. 9 Ziff. 6 ZertES an einen Dritten delegiert werden (sogenannte „Delegation der Registrierungsstellentätigkeit“). Die Anbieterinnen müssen alle ihre Tätigkeiten dokumentieren, einen Verzeichnisdienst für die Zertifikate bereithalten und z. B. unrechtmässig erlangte Zertifikate ungültig erklären.

Relevanz der Zertifizierungsdienste

Ohne die Anbieterinnen von Zertifizierungsdiensten sind elektronische Transaktionen in der Schweiz heute nicht denkbar. Zertifikate sichern nicht nur die Kommunikation ab, sondern stellen im Rahmen der Signatur auch sicher, dass die Unveränderlichkeit eines Dokumentes gewährleistet ist und auch die Urheberschaft nachweisbar ist.

 

Interessante Gesetze, Verordnungen und Normen für Zertifizierungsdienstleister

 

Bundesgesetz ZertES

 

Seit 2014 regelt das Bundesgesetz über Zertifizierungsdienste im Bereich der elektronischen Signatur und anderer Anwendungen digitaler Zertifikate, kurz „ZertES“, die Anforderungen an die Qualität der Zertifikate und ihre Verwendung sowie die Voraussetzungen, Rechte und Pflichte von Anbieterinnen von Zertifizierungsdiensten. Das Gesetz bildet die rechtliche Grundlage für die elektronische Signatur in der Schweiz und stellt die handschriftliche Unterschrift mit der qualifizierten elektronischen Signatur gleich.

 

Verordnung über Zertifizierungsdienste

Die Verordnung über Zertifizierungsdienste im Bereich der elektronischen Signatur und anderer Anwendungen digitaler Zertifikate, kurz auch „VZertES“ genannt, ergänzt das Bundesgesetz ZertES mit detaillierteren Regelungen, z. B. …

  • über die Anerkennungsstelle,
  • die notwendigen Voraussetzungen für die Registrierung und Identifizierung von Personen und
    Organisationen für den Signaturdienst,
  • das Tätigkeitsjournal für die Anbieterinnen von Zertifizierungsdiensten oder
  • die Ungültigkeitserklärung geregelter Zertifikate.

 

 

Technische und administrative Vorschriften (TAV)

 

Die technischen und administrativen Vorschriften über Zertifizierungsdienste im Bereich der elektronischen Signatur und anderer Anwendungen digitaler Zertifikate, kurz „TAV“, bilden einen Anhang zum VZertES und verweisen hierbei auf die genauen Normen, die Anbieterinnen von Zertifizierungsdiensten einhalten müssen. Es sind im Übrigen die gleichen Normen, die eIDAS Verordnung anzieht: Normen des europäischen Normeninstitutes „ETSI“ (European Telecommunications Standards Institute), aber auch ISO/IEC oder CEN Normen bzw. US-Normen (FIPS).